Redundantni fw s OpenBSD

To není pravda. Pokud použiješ v pravidlu quick, do dalších pravidel se packet filtr nekouká ať už sleduješ navázanost spojení nebo ne.

7.12.2007 13:24 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Redundantni fw s OpenBSD > 4.0

Tohle je navod na ipless bridging fw. Zapomnel jsem to zduraznit.
A v tom pripade packet prochazi pravidly 2x. Poprve jako incoming na vnitrnim interface a podruhe jako outgoing na vnejsim.
Kdyz zacali automaticky pridavat keep state, tak uz k druhemu pruchodu, kdy se skutecne filtruje, nedochazi.

7.12.2007 13:54 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: Redundantni fw s OpenBSD > 4.0

Napoprvé ti to prochází přes obě pravidla, tudíž je možnost to chytit na odchozím $ext_if. Při použití keep state se jen šetří čas tím, že navazaná spojení jsou vždy propuštěna. Nicméně ti nic nebrání v tom, použít keep state až na $ext_if, pak budeš mít jak stavový firewall, tak se ti bude packet chytat na obou pravidlech.

7.12.2007 16:28 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Redundantni fw s OpenBSD > 4.0

No a prave o to jde.
Vsechny stare navody pocitaji s tim, ze na $int_if se packety pusti a filtruji na $out_if. Jenze po upgrade OpenBSD skonci packet uz na internim interface v tabulce a firewall nefiltruje.